过滤特殊危险字符

最新推荐文章于 2025-03-11 11:09:59 发布
最新推荐文章于 2025-03-11 11:09:59 发布
阅读量2.4k 收藏
点赞数
分类专栏: php

一般,对于传进来的字符,php教程可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求
比如这样


代码如下 复制代码
if (!get_magic_quotes_gpc()) {    
    add_slashes($_GET);    
    add_slashes($_POST);    
    add_slashes($_COOKIE);    
}    
   
function add_slashes($string) {    
    if (is_array($string)) {    
        foreach ($string as $key => $value) {    
            $string[$key] = add_slashes($value);    
        }    
    } else {    
        $string = addslashes($string);    
    }    
    return $string;    
}



但是还可以更进一步进行重新编码,解码,如下:


代码如下 复制代码
//编码


function htmlencode($str) {      
     if(empty($str)) return;
     if($str=="") return $str;      
     $str=trim($str);
     $str=str_replace("&","&",$str);
     $str=str_replace(">",">",$str);
     $str=str_replace("<","<",$str);
     $str=str_replace(chr(32)," ",$str);
     $str=str_replace(chr(9)," ",$str);
     $str=str_replace(chr(34),"&",$str);
     $str=str_replace(chr(39),"'",$str);
     $str=str_replace(chr(13),"<br />",$str);
     $str=str_replace("'","''",$str);
     $str=str_replace("select","select",$str);
     $str=str_replace("join","join",$str);
     $str=str_replace("union","union",$str);
     $str=str_replace("where","where",$str);
     $str=str_replace("insert","insert",$str);
     $str=str_replace("delete","delete",$str);
     $str=str_replace("update","update",$str);
     $str=str_replace("like","like",$str);
     $str=str_replace("drop","drop",$str);
     $str=str_replace("create","create",$str);
     $str=str_replace("modify","modify",$str);
     $str=str_replace("rename","rename",$str);
     $str=str_replace("alter","alter",$str);
     $str=str_replace("cast","cas",$str);      
     return $str;  
}



这样就能更放心的对外来数据进行入库处理了, 但是从 数据库取出来,在前台显示的时候,必须重新解码一下:


代码如下 复制代码
//解码


function htmldecode($str) {      
     if(empty($str)) return;
     if($str=="")  return $str;
     $str=str_replace("select","select",$str);
     $str=str_replace("join","join",$str);
     $str=str_replace("union","union",$str);
     $str=str_replace("where","where",$str);
     $str=str_replace("insert","insert",$str);
     $str=str_replace("delete","delete",$str);
     $str=str_replace("update","update",$str);
     $str=str_replace("like","like",$str);
     $str=str_replace("drop","drop",$str);
     $str=str_replace("create","create",$str);
     $str=str_replace((www.111cn.net)"modify","modify",$str);
     $str=str_replace("rename","rename",$str);
     $str=str_replace("alter","alter",$str);
     $str=str_replace("cas","cast",$str);
     $str=str_replace("&","&",$str);
     $str=str_replace(">",">",$str);
     $str=str_replace("<","<",$str);
     $str=str_replace(" ",chr(32),$str);
     $str=str_replace(" ",chr(9),$str);
     $str=str_replace("&",chr(34),$str);
     $str=str_replace("'",chr(39),$str);
     $str=str_replace("<br />",chr(13),$str);
     $str=str_replace("''","'",$str);      
     return $str;
}



虽然多了一步编码,解码的过程,但是安全方面,会更进一步,要如何做,自己取舍吧。


再附一些


代码如下 复制代码
function safe_replace($string) {
$string = str_replace(' ','',$string);
$string = str_replace(''','',$string);
$string = str_replace(''','',$string);
$string = str_replace('*','',$string);
$string = str_replace('"','"',$string);
$string = str_replace("'",'',$string);
$string = str_replace('"','',$string);
$string = str_replace(';','',$string);
$string = str_replace('<','<',$string);
$string = str_replace('>','>',$string);
$string = str_replace("{",'',$string);
$string = str_replace('}','',$string);
return $string;
}



更全面的


代码如下 复制代码
//处理提交的数据
function htmldecode($str) {
if (empty ( $str ) || "" == $str) {
return "";
}
 
$str = strip_tags ( $str );
$str = htmlspecialchars ( $str );
$str = nl2br ( $str );
$str = str_replace ( "?", "", $str );
$str = str_replace ( "*", "", $str );
$str = str_replace ( "!", "", $str );
$str = str_replace ( "~", "", $str );
$str = str_replace ( "$", "", $str );
$str = str_replace ( "%", "", $str );
$str = str_replace ( "^", "", $str );
$str = str_replace ( "^", "", $str );
$str = str_replace ( "select", "", $str );
$str = str_replace ( "join", "", $str );
$str = str_replace ( "union", "", $str );
$str = str_replace ( "where", "", $str );
$str = str_replace ( "insert", "", $str );
$str = str_replace ( "delete", "", $str );
$str = str_replace ( "update", "", $str );
$str = str_replace ( "like", "", $str );
$str = str_replace ( "drop", "", $str );
$str = str_replace ( "create", "", $str );
$str = str_replace ( "modify", "", $str );
$str = str_replace ( "rename", "", $str );
$str = str_replace ( "alter", "", $str );
$str = str_replace ( "cast", "", $str );
 
$farr = array ("//s+/", //过滤多余的空白
"/<(//?)(img|script|i?frame|style|html|body|title|link|meta|/?|/%)([^>]*?)>/isU", //过滤 <script 防止引入恶意内容或恶意代码,如果不需要插入flash等,还可以加入]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )//过滤javascript的on事件
;
$tarr = array (" ", "", //如果要直接清除不安全的标签,这里可以留空
"" );
过滤前端的特殊危险字符----过滤
湫止的博客
08-16 689
@[TOC]# 学习目标: 过滤器 jdk1.8 表达式 学习内容: 1.新建HeaderMapRequestWrapper类 package com.risen.base.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.*; public class HeaderMapRequestWrappe
字符串_过滤处理
shenhaifeiniao的博客
02-25 1166
Demo:限制只能有数字#define NUMBERS @"0123456789" ` ` ` //限制只能输入特定的字符 //invertedSet方法是去反字符,把所有的除了kNumber里的字符都找出来(包含去空格功能) NSCharacterSet *cs;
过滤过滤用户输入的非法字符
11-03
过滤过滤用户输入的非法字符,如“” “%” “+”等需要的两个类XssFilter.java和XssHttpServletRequestWrapper.java
危险字符过滤的类(最新完善版)(1)
祝紫山(大可山人)博客[GDI+,WPF, .Net图形图像]
12-05 7307
前两天在一个Blog中看到过滤危险字符的类(网址记不清楚了,如果原作者来信告知,本文将加上其链接),现将其完善一下:/*原作者:(请与我联系)*改进者:Johnsuna(阿山NET msn:a3news(AT)hotmail.com)  http://www.vcsharp.com*/using System;using System.IO;using System.Text;using Syst
ASP.NET实现敏感关键字过滤的实践方法
最新发布
weixin_36296444的博客
03-11 845
本文还有配套的精品资源,点击获取 简介:ASP.NET是一个用于开发动态Web应用的框架,其敏感关键字过滤功能是保护网站免受恶意操作的重要安全措施。开发者通过建立敏感词列表,在用户输入处理前进行检查以阻止潜在危险字符。敏感关键字过滤可以使用内置验证控件或自定义后台检查实现,涉及到用户输入验证和安全编程实践,对于增强Web应用的安全性至关重要。 1. ASP.NET...
过滤输入字符串中的危险字符
you can you up up up的博客
03-04 2792
在文本框中输入&amp;;&lt;&gt;/%=#等字符时,在处理页中会把这些字符过滤掉然后显示出过滤后的字符串 应用String类提供大的replaceAll()方法,过滤字符串中指定的子字符串 public String replaceAll(String regex,String replacement) regex:表示需要替换的字符串 replacement:表示替换后的字符串 创...
字符过滤
star714的博客
09-23 1014
题目:        通过键盘输入一串小写字母(a~z)组成的字符串。请编写一个字符过滤程序,若字符串中出现多个相同的字符,将非首次出现的字符过滤掉。 比如字符串“abacacde”过滤结果为“abcde”。        要求实现函数:         void stringFilter(const char *pInput, char *pOutput); 思路:      
过滤危险字符字符转码,处理字符串中的空值
liehuoliaoyuan的专栏
03-23 2377
public class ChStr {    public static String toChinese(String strvalue) {   try {    if (strvalue == null) {         //当变量strvalue为null时     strvalue = "";         //将变量strvalue 赋值为空    }else {
C#实现过滤sql特殊字符的方法集合
09-03
在C#中,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符。SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
C#检测是否有危险字符的SQL字符过滤方法
09-04
正则表达式的使用使得这个方法能识别更多类型的危险字符,包括一些特殊字符和转义字符。返回值同样表示字符串是否安全。 最后,`mashSQL`函数用于修正SQL语句中的转义字符。在这个例子中,它主要处理了单引号(')...
xss特殊字符拦截与过滤
04-01
标题《xss特殊字符拦截与过滤》以及描述《滤除content中的危险HTML代码,主要是脚本代码,滚动字幕代码以及脚本事件处理代码》提示我们这个文件内容是关于XSS(跨站脚本攻击)防护的编程实现。XSS攻击是指攻击者通过...
php中url传递中文字符,特殊危险字符的解决方法
12-18
在PHP开发中,有时我们需要在URL中传递包含中文字符或者特殊危险字符的数据。这涉及到URL编码和解码的问题,以及如何安全地处理可能存在的安全风险,例如SQL注入。以下是一些关于这个主题的关键知识点和解决方案。 ...
Javav中危险字符过滤工具类
zhunode的探索
01-29 1256
 在进行网站开发时,为了避免网站遭到SQL语句的注入式攻击,应该考虑到过滤字符串中的危险字符。 在该实例中,可以过滤"&amp;;'&lt;&gt;--/ %=#"等字符时,在处理页面中会把这些字符过滤掉 /** 该示例主要利用String的replaceAll方法 public String replaceAll(String regex,String replacement)...
字符过滤
MENGERN的专栏
07-05 628
通过通过键盘输入一串小写字母(a~z)组成的字符串。请编写一个字符过滤程序,若字符串中出现多个相同的字符,将非首次出现的字符过滤掉。 比如字符串“abacacde”过滤结果为“abcde”。 要求实现函数: void stringFilter(const char *pInputStr,long lInputLen, char *pOutputStr); 【输入】 pInputStr:输
php过滤危险字符,php过滤特殊危险字符的总结_PHP教程
weixin_31178795的博客
03-09 538
在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,希望此教程对各位有帮助。一般,对于传进来的字符,php可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求比如这样代码如下复制代码if (!get_magic_quotes_gpc()) {...
php 过滤危险字符,php过滤特殊危险字符的总结
weixin_32236671的博客
03-11 158
php教程可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求比如这样代码如下 复制代码if (!get_magic_quotes_gpc()) {add_slashes($_GET);add_slashes($_POST);add_slashes($_COOKIE);}function add_sl...
字符过滤函数
yinxiaofeng586的专栏
03-16 460
Function ChkInvalidWord(Words) Const InvalidWords = "select|update|delete|insert|@|--|,|"  ChkInvalidWord = True InvalidWord = Split(InvalidWords, "|") inWords = LCase(Trim(Words))  For i = LBound(In
跨站脚本攻击-----为什么要过滤危险字符
developerFBI的专栏
07-07 1284
不算前言的前言 好像已经很久没有写过安全方面的文章了,所谓安全圈子里面,大家也许认为玄猫消失了,不过,我想,作为骇客的玄猫也许从来没有出现过吧。没错的,我是玄猫,如果前两年你看过《黑客X档案》或者《黑客手册》这样的民间安全杂志,那么你也许见过这个名字。 或者,很抱歉的,你的站点有时会出现过“玄猫啊玄猫……”这样的提示框或者文字,那么我很遗憾,我写的漏洞利用工具被人滥用到你的网站上了,蓝色理想里
字符数据过滤
SingWeek
06-12 235
使用正则提取执行字符,我们需要知道提取的目标字符,使用unicode编码实现,unicode编码参考官方文档:https://en.wikibooks.org/wiki/Unicode/Character_reference
过滤特殊字符防御SQL注入漏洞
12-29
### 通过过滤特殊字符防止SQL注入攻击 为了有效地防御SQL注入攻击,除了采用参数化查询外,对用户输入的数据进行严格的验证和过滤也至关重要。对于特定场景下的字符串处理,可以利用PHP内置函数`htmlspecialchars()`或自定义正则表达式等方式来实现。 #### 使用 `htmlspecialchars()` 此函数能够将一些具有潜在危险的HTML标签转换成实体形式,从而阻止恶意脚本执行。然而需要注意的是,虽然这有助于防范跨站脚本(XSS),但对于SQL注入而言,仅依靠它并不充分[^4]: ```php // 将特殊字符转义为 HTML 实体 $safe_string = htmlspecialchars($unsafe_string, ENT_QUOTES, 'UTF-8'); ``` #### 自定义正则表达式清理输入 针对可能引起SQL语法错误或者被用于构造非法查询的关键字,可以通过编写专门的模式匹配规则来进行替换或移除操作。例如去除单引号、双引号以及其他非预期字符: ```php function sanitize_input($input){ $pattern = '/[\';"\\]/'; return preg_replace($pattern,'',$input); } $cleaned_data = sanitize_input($_POST['user_input']); ``` 尽管上述方法可以在一定程度上减少风险,但最推荐的做法仍然是结合使用预处理语句与绑定变量机制,因为这种方式从根本上杜绝了因不当拼接而导致的问题发生可能性[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值